Wednesday, 3 February 2010

Vulnerabilidad de inyección de código HTML y JavaScript en Facebook


La red social Facebook ocupa el puesto número 2 en el índice alexa y según su COO, acceden a ella 175 millones de usuarios cada día.



Hoy se ha publicado la primera de las vulnerabilidades que he encontrado en Facebook, y en concreto se trata de una inyección de código HTML y JavaScript que afecta a la interfaz móvil de la red social.

En concreto, la variable 'q' en el recurso http://m.facebook.com/friends.php no era correctamente filtrada, por lo que un atacante podía realizar ataques de tipo Cross-Site Scripting (XSS) con el objetivo de robar las cookies del usuario, y por lo tanto, comprometer su cuenta de Facebook.

El 'Proof of concept' era el siguiente: http://m.facebook.com/friends.php?q=%3Cscript%3Ealert(%22XSS%22)%3B%3C%2Fscript%3E


El impacto de esta vulnerabilidad en una red social como Facebook, es el robo de cuentas de los usuarios afectados, por lo tanto se considera de relevante gravedad.
Para aprovechar la vulnerabilidad el atacante tendría que preparar un enlace o sitio web con el código malicioso, con el objetivo de que las victimas lo visitaran. Y simplemente por el hecho de hacer click en un enlace o visitar un sitio web, sus cuentas quedarían automáticamente comprometidas.

El estado actual de esta vulnerabilidad es corregido. Para conseguirlo, nos pusimos en contacto con el equipo de seguridad de Facebook con el objetivo de mitigar los errores encontrados, y a pesar de que en un primer momento no obtuvimos respuesta, actualmente mantenemos un canal de comunicación con el fin de que se corrija esta y otras vulnerabilidades que se han descubierto.


Teneis disponible el advisory original (english).

A medida que el equipo de seguridad de Facebook notifique la correción de las vulnerabilidades reportadas, iré publicando más información en el blog.

No comments:

Post a Comment